한화손해보험이 고객 개인 정보 15만여건이 유출된 사고를 1년 반 가까이 숨겨온 것으로 드러났다.
감독 당국인 금융감독원도 은행이나 카드사 등의 해킹 사고와 달리 개인의 질병·사고 기록 등 프라이버시와 직결되는 민감한 정보들을 보유하고 있는 보험사에서 해킹이 발생했는데도, 이런 사실을 제대로 공개하지 않았다. 또 경찰 수사가 마무리되지 않았다는 이유로 해킹 피해자들에 대한 보상 등의 대책을 뒷전으로 미루고 있다.
유출된 정보는 고객의 이름과 주민등록번호, 휴대전화번호, 차량번호 등이며, 가입자들이 낸 교통사고의 시간과 장소, 사고 경위 등도 통째로 외부에 공개됐다. 보험사에서 개인 정보 유출 해킹이 벌어진 것은 이번이 처음이다. 19일 금감원에 따르면 한화손보는 지난 2011년 3월부터 5월까지 두 달에 걸쳐 해킹을 당해, 고객 개인 정보 15만7901건이 유출됐다. 한 사람이 여러 건의 정보가 유출된 경우도 있어, 고객 수 기준으로는 11만9322명의 정보가 유출됐다. 질병 기록과 대출 내역 등은 유출되지 않았다고 한화손보는 밝혔다.
한화손보는 해킹으로 인한 피해라고 판단할 수 있는 고객 민원이 들어온 이후에도 별다른 조치 없이 1년 4개월간 방치했다. 지난 2011년 5월 한 자동차보험 가입자가 "내가 접수한 교통사고 기록이 포털사이트 등 인터넷에 돌아다닌다"며 민원을 제기했지만, 이를 묵살했다.
한화손보는 지난해 9월 경찰청 사이버수사대로부터 해킹 용의자 김모(37)씨를 검거했다는 통보를 받은 뒤에야 뒤늦게 홈페이지에 '고객 여러분에게 사과드립니다'라는 대표이사 명의의 사과문을 게재하고 금융감독원장에게 사고 경위 보고서를 제출했다.
이처럼 늑장 보고를 하면서 사고 경위 등도 제대로 밝히지 않았다. 금감원은 "한화손보가 2011년 5월 이미 해킹 사건에 대해 사실 관계를 파악하고도, 유출 경위에 대해 '알 수 없음'이라고 허위 보고를 했다"고 밝혔다. 한화손보 측은 "2011년 5월 민원 접수 당시에는 해킹에 대해 몰랐다"면서 "질병 정보나 보험 담보 대출 기록 등이 유출되지 않았다는 점이 중요하다"고 말했다.
금감원의 처리 과정도 문제라는 지적이 나온다. 금감원은 지난 10일 제재심의위원회에서 한화손보에 대한 제재 조치를 확정하기까지 9개월간 사건 자체에 대한 어떤 발표도 하지 않았다. 금감원 관계자는 "금감원이 금융회사의 정보 유출 사실을 공표할 의무는 없다"며 "경찰 수사가 끝나는 대로 한화손보가 피해 고객에게 개별적으로 통지하도록 조치했다"고 말했다.
금감원의 제재도 솜방망이에 그쳤다. 금융위원회에 보고해야 하는 중징계를 하지 않아, 금감원장 전결로 처리됐다. 한화손보는 4단계의 제재 가운데 가장 가벼운 '주의'를 받는 데 그쳤다. 임직원의 경우 박석희 한화손보 사장이 '주의적 경고'를 받았고, 최고정보책임자(CIO)는 3개월 감봉 징계를 받았다.